Politique de Confidentialité

1. Introduction

La présente politique de confidentialité décrit comment Hush, application macOS de correction automatique de texte par intelligence artificielle, éditée par AppBiz Studio, collecte, utilise et protège vos données personnelles.

Hush est conçu selon un principe de minimisation des données : nous ne collectons que le strict nécessaire au fonctionnement du service et à la gestion des licences. Aucune donnée n'est vendue, partagée à des fins publicitaires ou exploitée commercialement.

Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la Loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée).

2. Responsable du traitement

AppBiz Studio
Contact : abdoul@appbiz.studio
Site web : tryhush.app

Pour toute question relative à la protection de vos données ou pour exercer vos droits, vous pouvez nous contacter à l'adresse ci-dessus.

3. Données collectées et traitées

Donnée	Finalité	Base légale	Durée de conservation	Lieu de traitement
Texte du champ actif	Envoyé au modèle IA pour correction orthographique et grammaticale	Exécution du contrat (art. 6.1.b RGPD)	Aucune conservation — transit uniquement (Zero Data Retention)	France/UE (Mistral AI via OpenRouter)
Identifiant matériel (Hardware ID)	Lier la licence à l'appareil (max 3 appareils par licence)	Exécution du contrat (art. 6.1.b RGPD)	Durée de la licence	Cloudflare (réseau global, chiffré)
Adresse e-mail	Identification de la licence, communication de service	Exécution du contrat (art. 6.1.b RGPD)	Durée de la licence	Cloudflare KV + Stripe
Identifiant de session Stripe	Association paiement ↔ licence	Exécution du contrat (art. 6.1.b RGPD)	Durée de la licence	Cloudflare KV
Jeton JWT (licence)	Authentification locale de la licence	Exécution du contrat (art. 6.1.b RGPD)	Stocké localement dans le Keychain macOS	Appareil local uniquement
Clé API OpenRouter	Authentification auprès de l'API de correction	Exécution du contrat (art. 6.1.b RGPD)	Stockée localement (UserDefaults)	Appareil local uniquement
Préférences utilisateur	Mode de correction, délai de pause, prompt personnalisé	Intérêt légitime (art. 6.1.f RGPD)	Stockées localement (UserDefaults)	Appareil local uniquement

3.1. Traitement du texte — fonctionnement détaillé

Lorsque vous tapez du texte et marquez une pause, Hush lit le contenu du champ de texte actif via l'Accessibility API de macOS (AXUIElement). Ce texte est ensuite :

Copié dans le presse-papiers comme sauvegarde (donnée locale uniquement).
Envoyé via HTTPS (chiffrement TLS) à l'API OpenRouter, qui le transmet au modèle Ministral 3B de Mistral AI, hébergé en France/Union européenne.
Le texte corrigé est renvoyé et inséré dans le champ en remplacement du texte original.

Politique Zero Data Retention (ZDR)

OpenRouter applique une politique de Zero Data Retention par défaut : aucun texte n'est stocké, journalisé ou utilisé pour l'entraînement de modèles.
Mistral AI ne conserve pas les données transmises via ses API.
Hush lui-même ne stocke, ne journalise et ne conserve aucun texte envoyé à l'API.

3.2. Identifiant matériel (Hardware ID)

Pour lier votre licence à votre appareil, Hush génère un identifiant matériel calculé comme suit : un hash SHA-256 de la combinaison IOPlatformSerialNumber + IOPlatformUUID de votre Mac.

Ce hash est irréversible : il est impossible de retrouver votre numéro de série ou votre UUID à partir de cet identifiant. Il est transmis au serveur de licences lors de l'activation et de la revalidation périodique (toutes les 72 heures).

3.3. Jeton de licence (JWT)

Après activation, un jeton JWT contenant votre identifiant de session, votre adresse e-mail et votre identifiant matériel est stocké dans le Keychain macOS (stockage sécurisé chiffré par le système d'exploitation). Ce jeton est vérifié localement et revalidé en ligne tous les 72 heures.

3.4. Monitoring clavier (KeystrokeMonitor)

Hush utilise un système de surveillance des événements clavier (CGEventTap) uniquement pour détecter les pauses de frappe. Ce système :

N'enregistre pas les touches pressées.
Ne transmet pas les frappes clavier à un serveur.
Ne stocke aucun historique de saisie.
Détecte uniquement le timing entre les événements pour identifier le moment où vous cessez de taper.

3.5. Accessibility API (macOS)

Hush nécessite l'autorisation Accessibilité de macOS pour :

Lire le contenu du champ de texte actif au moment de la pause.
Écrire le texte corrigé dans ce même champ.

Hush ne lit que le champ de texte ayant le focus au moment de la pause. Les champs de mots de passe (AXSecureTextField) sont systématiquement ignorés. Les applications de développement (terminaux, éditeurs de code) sont exclues par défaut.

4. Données NON collectées

Hush ne collecte PAS :

Vos frappes clavier (keylogger) — seul le timing des pauses est détecté
L'historique des textes corrigés — aucun stockage, ni local ni distant
Vos données de navigation ou d'utilisation d'autres applications
Votre localisation géographique
Vos contacts, photos, fichiers ou tout autre contenu personnel
Des données biométriques
Des données bancaires ou de carte de crédit (gérées entièrement par Stripe)
Des données de télémétrie, d'analytics ou de tracking
Des cookies — ni sur l'application ni sur le site web

5. Sous-traitants et transferts de données

Hush fait appel aux sous-traitants suivants pour le fonctionnement du service :

Sous-traitant	Rôle	Données concernées	Localisation	Garanties RGPD
OpenRouter	Relais API vers le modèle IA	Texte en transit (ZDR)	États-Unis	Zero Data Retention, chiffrement TLS, DPA disponible
Mistral AI	Modèle d'IA pour la correction (Ministral 3B)	Texte en transit	France / Union européenne	Conforme RGPD, hébergement UE, pas de conservation des données API
Cloudflare	Hébergement serveur de licences (Workers + KV)	Hardware ID (hashé), e-mail, session ID	Réseau global (nœuds UE privilégiés)	Conforme RGPD, DPA, certifications ISO 27001
Stripe	Traitement des paiements	Données de paiement (carte, e-mail)	États-Unis / Union européenne	Conforme RGPD, PCI DSS Level 1, DPA, SCCs

5.1. Transferts hors UE

Les transferts de données vers les États-Unis (OpenRouter, Stripe, Cloudflare) sont encadrés par des Clauses Contractuelles Types (SCCs) adoptées par la Commission européenne, conformément à l'article 46.2(c) du RGPD.

Concernant le traitement du texte spécifiquement, celui-ci est effectué par Mistral AI, société française dont les serveurs sont situés en France / Union européenne. Le texte transite par OpenRouter (USA) mais avec une politique de Zero Data Retention : aucune donnée n'est stockée, journalisée ou conservée.

6. Sécurité des données

Hush met en œuvre les mesures techniques suivantes pour protéger vos données :

Chiffrement en transit : toutes les communications réseau utilisent HTTPS/TLS.
Stockage sécurisé : le jeton de licence est stocké dans le Keychain macOS, chiffré par le système d'exploitation et protégé par votre session utilisateur.
Hash irréversible : l'identifiant matériel est un hash SHA-256 — impossible de retrouver les informations d'origine.
Zero Data Retention : aucun texte n'est conservé par Hush, OpenRouter ou Mistral AI.
Exclusion des champs sensibles : les champs de mots de passe et les barres d'URL sont automatiquement ignorés.
Applications exclues : les terminaux et éditeurs de code sont exclus par défaut.
Vérification de signature : les webhooks Stripe sont vérifiés par signature HMAC.

7. Vos droits (RGPD)

Conformément au RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants :

Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
Droit de rectification (art. 16 RGPD) : corriger des données inexactes ou incomplètes.
Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données personnelles.
Droit à la limitation du traitement (art. 18 RGPD) : restreindre le traitement de vos données.
Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré.
Droit d'opposition (art. 21 RGPD) : vous opposer au traitement fondé sur l'intérêt légitime.

Pour exercer ces droits, contactez-nous à : abdoul@appbiz.studio. Nous répondrons dans un délai maximum de 30 jours.

Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.

8. Mode hors ligne (futur)

Hush prévoit l'intégration d'un modèle de correction local, exécuté entièrement sur votre Mac. Lorsque ce mode sera activé, aucune donnée ne sera transmise à un serveur externe. Le traitement du texte sera réalisé à 100 % sur votre appareil.

9. Cookies et trackers

Hush n'utilise aucun cookie, aucun tracker, aucun pixel de suivi et aucun outil d'analytics, ni dans l'application macOS, ni sur le site web tryhush.app.

10. Données des mineurs

Hush ne s'adresse pas spécifiquement aux mineurs de moins de 16 ans. Si nous apprenons que des données personnelles d'un mineur ont été collectées sans le consentement d'un parent ou tuteur légal, nous les supprimerons dans les meilleurs délais.

11. Modifications de cette politique

Nous nous réservons le droit de modifier cette politique de confidentialité. En cas de modification substantielle, nous vous en informerons par une notification dans l'application ou sur notre site web. La date de dernière mise à jour est indiquée en haut de cette page.

L'utilisation continuée de Hush après publication d'une version modifiée vaut acceptation de la nouvelle politique.

12. Contact

Pour toute question relative à cette politique de confidentialité ou au traitement de vos données :

AppBiz Studio
E-mail : abdoul@appbiz.studio
Site web : tryhush.app